上一个帖子
普及了一些基本概念和常识,接下来就得说点实在的货色:介绍一下攻击者常用的套路。攻击者的套路大致可以分为如下几个步骤:信息收集
、假冒身份
、施加影响
、实施最终的攻击。由于每个步骤介绍起来都蛮长的,俺今天先来介绍“信息收集”这个步骤。<!-- program-think-->
★什么是信息收集?
信息收集就是通过各种手段去获取机构、组织、公司(以下统一简称“机构
”)的一些不敏感
信息。为啥特地强调“不敏感”捏?如果信息不敏感,就不会有特别严格的访问限制,攻击者也就容易得手。而且在获取这种信息的过程中,不易引起别人的注意,降低了攻击者自身的风险。
★收集的信息有啥用捏?
大部分社会工程攻击者都会从信息收集入手。但信息收集往往不是
攻击者的最终目的,仅仅是攻击者进入下一个阶段的前期准备工作。大多数攻击者拿到这些信息之后,多半会用来包装自己,以便进行后续的身份假冒。具体如何该包装和冒充,俺会在下一个帖子里介绍。
★哪些信息属于不敏感信息?
典型的不敏感
信息有如下几种:
◇某些关键人物的资料
这里“资料
”包括该人物所处的部门、担任的职位、电子邮箱、手机号、座机分机号等。大伙儿注意一下,此处的关键人物
,不一定是名气大或位高权重的人,而是指这些人位于攻击路线上的关键点。攻击者必须利用这些人来达到某种目的。
◇机构内部某些操作流程的步骤
每个机构内部都有若干操作流程(比如报销流程、审批流程等),这些流程对于攻击者非常有用。一旦摸清了这些流程的细节,攻击者就能知道每一个攻击环节会涉及哪些对象,这些对象分别处于什么部门?担任什么职务?具有什么授权?
◇机构内部的组织结构关系
机构的组织结构关系包括如下几个方面:各个部门的隶属关系、部门之间的业务往来、职权的划分、某个部门是强势还是弱势等等信息。
组织结构图的用处类似于操作流程,俺就不再多啰嗦了。
◇机构内部常用的一些术语和行话
大部分攻击者都会收集一些机构内部的术语和行话。当攻击者在和机构内的其他人员交流时,如果能熟练地使用各种专用的术语和行话,就可以有效打消其他人的疑虑,并获得信任。
上述这些信息似乎蛮普通的,在大伙儿看来好像没啥价值。但是这些信息到了攻击者手中就能发挥出巨大的作用(具体细节,可以看“这里的示例
”)。
★如何收集到不敏感信息?
收集这些普通信息的途径大致有如下几种:
◇通过网站和搜索引擎
比如,很多机构的内部操作流程直接放在官方网站上,可以轻易获取。还有很多不敏感信息,攻击者通过Google就能找到一大把。
◇通过离职员工
有些时候,某个员工(哪怕是一个很小的角色)跳槽到竞争对手那里,就可以带来很丰富的信息。保本的话,至少能拿到原公司的通讯录;稍好一些的话,还能拿到组织结构图以及更深层次的一些东东。
◇通过垃圾分析
很多机构对于一些普通的打印材料,直接丢到垃圾桶,不会经过碎纸机处理。所以攻击者可以从办公垃圾中找到很多有用的信息。
举一个简单的例子:很多公司每当有新员工入职,人事或者行政人员都会打印一张清单给新员工。清单上面可能
会有如下内容:
公司内部常用服务器(比如打印服务器、文件服务器)的IP地址
新员工外部邮箱的名称和默认口令
公司内部系统(比如ERP系统、MIS系统等)的用户名和默认口令
某些内部系统的简单使用说明
如果某个新员工没有立即
修改默认口令(有相当比例的新员工不会在入职当天立即修改所有
默认口令),并且把这个清单直接丢到垃圾桶。那对于垃圾分析者来说,可就捡了大便宜啦!
不过捏,垃圾分析方法属于苦差事。使用此招数,每次都要捏着鼻子,在垃圾箱里翻上好几个小时。但还是有很多商业间谍乐此不疲。
◇通过电话问讯
某些攻击者直接打电话给前台或者客户服务部,通过某些技巧(后面的帖子
详述),就能套出很多有价值的信息。
为啥攻击者特别偏爱于前台和客服人员捏?这里面可是大有讲究啊!一般来说,前台和客户服务人员都属于机构内的服务支撑部门。这些部门的员工经常被培训成
具有如下特质:不怨其烦、热情好客、乐于助人。所以,这类员工会比较有耐心,也比较能满足攻击者的一些(哪怕是有点无理的)要求。
上述就是社会工程学中,信息收集的基本常识。本系列
的下一个帖子,咱们来聊一下“假冒身份
”的话题。
版权声明
本博客所有的原创文章,作者皆保留版权。转载必须包含本声明,保持本文完整,并以超链接形式注明作者编程随想
和本文原始地址:
http://program-think.blogspot.com/2009/05/social-engineering-1-gather-information.html
分享到:
相关推荐
资源内项目源码是来自个人的毕业设计,代码都测试ok,包含源码、数据集、可视化页面和部署说明,可产生核心指标曲线图、混淆矩阵、F1分数曲线、精确率-召回率曲线、验证集预测结果、标签分布图。都是运行成功后才上传资源,毕设答辩评审绝对信服的保底85分以上,放心下载使用,拿来就能用。包含源码、数据集、可视化页面和部署说明一站式服务,拿来就能用的绝对好资源!!! 项目备注 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、大作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.txt文件,仅供学习参考, 切勿用于商业用途。
《基于YOLOv8的智慧社区独居老人生命体征监测系统》(包含源码、可视化界面、完整数据集、部署教程)简单部署即可运行。功能完善、操作简单,适合毕设或课程设计
Android Studio Meerkat 2024.3.1 Patch 1(android-studio-2024.3.1.14-mac.dmg)适用于macOS Intel系统,文件使用360压缩软件分割成两个压缩包,必须一起下载使用: part1: https://download.csdn.net/download/weixin_43800734/90557060 part2: https://download.csdn.net/download/weixin_43800734/90557056
侧轴承杯加工工艺编制及夹具设计.zip
NASA数据集锂电池容量特征提取(Matlab完整源码和数据) 作者介绍:机器学习之心,博客专家认证,机器学习领域创作者,2023博客之星TOP50,主做机器学习和深度学习时序、回归、分类、聚类和降维等程序设计和案例分析,文章底部有博主联系方式。从事Matlab、Python算法仿真工作8年,更多仿真源码、数据集定制私信。
板料折弯机液压系统设计.zip
C6150车床的设计.zip
机器学习之KNN实现手写数字
python爬虫;智能切换策略,反爬检测机制
mpls-vpn-optionA-all
56tgyhujikolp[
GB 6442-86企业职工伤亡事故调查分析规则.pdf
汽车液压式主动悬架系统的设计().zip
2000-2024年各省专利侵权案件结案数数据 1、时间:2000-2024年 2、来源:国家知识产权J 3、指标:专利侵权案件结案数 4、范围:31省 5、用途:可用于衡量知识产权保护水平
资源内项目源码是来自个人的毕业设计,代码都测试ok,包含源码、数据集、可视化页面和部署说明,可产生核心指标曲线图、混淆矩阵、F1分数曲线、精确率-召回率曲线、验证集预测结果、标签分布图。都是运行成功后才上传资源,毕设答辩评审绝对信服的保底85分以上,放心下载使用,拿来就能用。包含源码、数据集、可视化页面和部署说明一站式服务,拿来就能用的绝对好资源!!! 项目备注 1、该资源内项目代码都经过测试运行成功,功能ok的情况下才上传的,请放心下载使用! 2、本项目适合计算机相关专业(如计科、人工智能、通信工程、自动化、电子信息等)的在校学生、老师或者企业员工下载学习,也适合小白学习进阶,当然也可作为毕设项目、课程设计、大作业、项目初期立项演示等。 3、如果基础还行,也可在此代码基础上进行修改,以实现其他功能,也可用于毕设、课设、作业等。 下载后请首先打开README.txt文件,仅供学习参考, 切勿用于商业用途。
内容概要:本文档详细复现了金融数学课程作业,涵盖欧式看涨期权定价和投资组合优化两大部分。对于欧式看涨期权定价,分别采用Black-Scholes模型和蒙特卡洛方法进行了计算,并对彩虹期权进行了基于最大值的看涨期权定价。投资组合优化部分则探讨了最小方差组合、给定收益的最小方差组合、最大效用组合以及给定风险的最大收益组合四种情形,还对比了拉格朗日乘数法和二次规划求解器两种方法。文中不仅提供了详细的MATLAB代码,还有详尽的中文解释,确保每一步骤清晰明了。 适合人群:金融工程专业学生、量化分析师、金融数学爱好者。 使用场景及目标:①帮助学生理解和掌握金融衍生品定价的基本原理和方法;②为从事量化分析的专业人士提供实用工具和技术支持;③作为教学材料辅助高校教师讲授相关内容。 其他说明:文档还包括了完整的论文结构建议,从封面页到结论,再到附录,涵盖了所有必要元素,确保提交的作业符合学术规范。此外,还特别强调了数据预处理步骤,确保代码可以顺利运行。
脉冲电解射流加工喷射装置设计(1)
ThinkPad S1 (2nd Generation) 和ThinkPad Yoga 260 用户指南V3.0,包含如何拆机更换硬件
charles描述文件下载
python代码-使用人类对话数据集lora微调deepseek